Sur la nature des données traitées :
Le projet de décret soumis à la commission prévoit la collecte et la diffusion de données différentes selon que la condamnation est prononcée à l'encontre d'une personne physique ou d'une personne morale. Le site internet permettant la diffusion comprendra ainsi deux listes différentes pour ces deux catégories.
S'agissant des personnes physiques, le projet de décret mentionne la diffusion de l'identité (nom, prénoms, sexe, date et lieu de naissance), de la nationalité, du numéro de SIREN ou de SIRET ou, le cas échéant, du numéro d'immatriculation à un registre professionnel ou à un organisme chargé du recouvrement des cotisations de sécurité sociale, de l'adresse professionnelle, de l'activité principale exercée (code NAF ou APE), de la nature de l'infraction, de la date et du dispositif de la décision, de la date de mise en ligne, de la durée et de la date de fin de la diffusion, des références de la juridiction et de l'indication d'un éventuel appel.
S'agissant des personnes morales, le projet de décret prévoit la diffusion de la dénomination sociale, de l'objet social, de l'identité du représentant légal lorsqu'il est également condamné, du numéro de SIREN ou de SIRET ou, le cas échéant, du numéro d'immatriculation à un registre professionnel, de l'adresse du siège social, de l'activité principale exercée (code NAF ou APE), de la nature de l'infraction, de la date et du dispositif de la décision, de la date de mise en ligne, de la durée et de la date de fin de la diffusion, des références de la juridiction et de l'indication d'un éventuel appel.
En dehors de la nationalité, qui ne semble pas présenter d'intérêt au regard des objectifs poursuivis par le législateur, ces données apparaissent de nature à éclairer le public quant â la nature des faits à l'origine de la condamnation et à permettre une identification de la personne condamnée.
La commission estime dès lors qu'il conviendrait de supprimer la diffusion de la nationalité de la personne condamnée, en ce que cela serait excessif au regard de la finalité poursuivie et, par conséquent, contraire aux dispositions de l'article 6 de la loi du 6 janvier 1978 modifiée.
La commission relève que le ministère a pris en compte certaines de ses recommandations en matière de minimisation des données, en supprimant des données relatives aux personnes physiques pour lesquelles la diffusion sur internet était initialement envisagée, ce qui permet de limiter les atteintes portées aux droits des personnes.
Enfin, si la commission conçoit qu'il est difficile d'aller plus loin dans la démarche de minimisation des données, sauf à vider de sa substance la loi n° 2014-790 du 10 juillet 2014, elle relève néanmoins que la diffusion de décisions judiciaires non définitives, par conséquent susceptibles d'être infirmées par une cour d'appel ou cassées par la Cour de cassation, est de nature à entrainer des conséquences préjudiciables et souvent irréparables pour des personnes relaxées par la suite.
Sur les modalités de transmission des données :
Le projet de décret examiné par la commission prévoit que le greffe de la juridiction ayant prononcé la condamnation est chargé de transmettre cette dernière, dès qu'elle a acquis un caractère exécutoire, aux services de l'administration centrale du ministère chargé du travail. Il précise que cette transmission, qui peut être assurée par voie dématérialisée, doit intervenir dans des conditions de nature à en assurer l'intégrité et la confidentialité.
Dans un premier temps, à savoir pour une période maximale d'un an à compter de la publication du projet de décret au Journal officiel, il est prévu que les greffes transmettent les décisions par télécopie, étant précisé que le terminal de destination devra faire l'objet d'une protection appropriée (local sécurisé).
Dans un second temps, la transmission sera opérée par l'intermédiaire de l'application CASSIOPEE lorsqu'elle sera étendue aux juridictions du second degré.
La commission prend ainsi acte du fait que les transmissions dématérialisées ne pourront intervenir que dans des conditions de nature à en assurer l'intégrité et la confidentialité.
Sur les modalités de diffusion des données sur internet :
Le projet de décret soumis à la commission précise que l'autorité responsable du site internet du ministère chargé du travail prend toutes les mesures nécessaires pour assurer la protection des données identifiantes, notamment en empêchant leur indexation par les moteurs de recherche externes ou leur reproduction sur internet ou sur un autre support électronique.
La commission prend ainsi acte du fait que le site intemet du ministère chargé du travail comprendra une page d'avertissement précisant les conditions de consultation et d'utilisation des données, sur laquelle il sera indiqué qu'il est interdit d'extraire, de détenir, de modifier ou de reproduire les condamnations diffusées. Cette page précisera également que l'indexation ou le référencement des pages par les moteurs de recherche ne sont pas autorisés. Chaque internaute, avant de consulter les listes de condamnations, devra accepter ces conditions en cochant une case prévue à cet effet.
La commission relève enfin que le responsable de traitement a choisi de recourir à un fichier robot.txt pour empêcher les moteurs de recherche externes de procéder à une indexation des données et, afin de limiter la diffusion des données, d'enregistrer les condamnations au format image.
La commission constate ainsi avec satisfaction que les demandes qu'elle a formulées par le passé s'agissant de la non-indexation d'informations directement identifiantes par des moteurs de recherche ont été prises en compte.
A cet égard, la commission rappelle que ses recommandations en matière de non-indexation ne visent pas à empêcher la diffusion des données, ce qui serait contraire à l'objectif de transparence du législateur, mais à s'assurer du respect des dispositions des 4° et 5° de l'article 6 de la loi du 6 janvier 1978 modifiée, qui concernent le respect des durées de conservation et la mise à jour des informations rendues publiques, s'agissant des données directement identifiantes.
Sur la durée de conservation des données :
La durée maximale de deux ans pendant laquelle les informations sont mises à la disposition du public, soit la durée de la peine complémentaire prononcée, n'apparaît pas excessive au regard de la finalité poursuivie.
La commission relève, par ailleurs, que le projet de décret indique que les données transmises au responsable de traitement sont conservées pendant cinq ans. Ce délai d'archivage visant à permettre de répondre à une éventuelle contestation quant à une diffusion erronée, d'une part, et à réaliser des bilans ou analyses statistiques dans des conditions d'anonymisation intégrale, d'autre part, n'apparaît pas excessif au regard de la finalité poursuivie.
Des mesures de sécurité adaptées, ainsi qu'une traçabilité renforcée, devront toutefois être mises en œuvre par le responsable de traitement pour éviter que les données archivées puissent être consultées sans justification et, le cas échéant, pour détecter et mettre un terme à d'éventuels accès illégitimes.
Sur l'information des personnes :
Les personnes concernées par la diffusion sur internet d'une condamnation pénale prononcée en matière de travail illégal seront informées, par le greffe compétent, de la transmission de la décision judiciaire au ministère du travail en vue d'une diffusion sur internet.
La commission prend acte que le ministère a également prévu que ces personnes bénéficieront, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, d'une information délivrée à partir de son site internet.
Ces éléments n'appellent pas d'observation de la commission.
Sur les droits d'accès, de rectification et d'opposition pour motif légitime :
La mise en œuvre du traitement résultant du respect d'une obligation légale incombant au responsable de traitement, le consentement des personnes concernées n'est pas requis, conformément aux dispositions de l'article 7 de la loi du 6 janvier 1978 modifiée. Le projet de décret est ainsi fondé à écarter l'exercice du droit d'opposition prévu par l'article 38 de cette loi.
La commission prend acte du fait que le projet de décret prévoit que le responsable de traitement doit prendre les mesures nécessaires pour assurer l'intégrité et la sécurité des données diffusées, d'une part, et mentionne la possibilité pour les personnes concernées d'exercer auprès du ministère un droit de rectification des données erronées ou inexactes, d'autre part.
A cet égard, la commission estime que le projet de décret devrait être complété pour mentionner également que les personnes concernées peuvent exercer leur droit d'accès aux données, tel que prévu par les articles 29-2° et 39 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Les habilitations d'accès au système d'information sont paramétrées selon les rôles des intervenants, avec des profils définissant les fonctions et les types d'informations accessibles à chaque utilisateur.
La commission recommande que la gestion et l'usage des habilitations fasse l'objet de procédures formalisées, validées par le responsable de traitement et portées à la connaissance des utilisateurs.
Les transferts de données sont chiffrés et sécurisés par l'utilisation de réseaux isolés (VLAN) et compartimentés (DMZ, Firewall, Reverse Proxy).
Les protocoles SSH (avec authentification) et SFTP (avec authentification) sont utilisés pour la mise à jour de l'application. Les mots de passe ont au minimum 6 caractères et sont stockés dans la base de données après avoir été hachés en MD5.
La commission recommande en outre d'utiliser la version de TLS la plus à jour, d'avoir recours à des mots de passe d'une longueur minimale de dix caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux, et de les stocker en base avec une fonction de type HMAC / PBKDF ou assimilée, utilisant une clé spécifique pour la base ou un sel par entrée et une fonction de hachage à l'état de l'art (SHA 256 ou SHA3 actuellement).
La commission prend acte du fait que la transmission des données par les greffes se fera de manière dématérialisée, tout d'abord par fax vers un terminal de réception situé dans un local sécurisé, puis par l'intermédiaire de l'application CASSIOPEE,
La commission rappelle que l'échange de données inter-applicatif entre l'application CASSIOPEE et le système d'information permettant la diffusion des condamnations devra avoir fait l'objet d'une homologation selon le Référentiel Général de Sécurité (RGS), afin d'attester de la sécurité des échanges de données.
Les sauvegardes de données sont effectuées chez un prestataire externe. La commission recommande que les sauvegardes soient chiffrées, ainsi que les flux vers le prestataire de sauvegarde.
Les informations nominatives qui sont traitées sont limitées aux images résultant de la numérisation des décisions. Celles-ci sont effacées à l'issue du délai prévu. Parallèlement, des informations statistiques non nominatives concernant les peines sont collectées et saisies dans un fichier bureautique réservé à un usage interne.
La limitation de la réutilisation des données publiées sur internet est réalisée à travers le paramétrage d'un fichier interdisant leur indexation par les moteurs de recherche et par leur publication au format image.
La commission relève que la direction générale du travail assume le risque résiduel d'une recopie à la main des données ou d'une prise de photographie, étant précisé que la page concernée avertira les visiteurs de l'interdiction de reproduction. La commission considère que cette position est acceptable au vu de l'objectif du traitement.
L'hébergement est externalisé. La mise au point du site de publication s'effectue avec des données fictives sur ILI serveur de pré-production accessible par le responsable de traitement. Le transfert du site vers le serveur de production est effectué par I'hébergeur, sans recopie des données.
La mise à jour des données pour publication s'effectue directement sur le serveur de production à l'aide d'un compte utilisateur disposant des droits suffisants. L'architecture choisie est celle d'un site internet dynamique alimenté par une base de données (application de gestion de contenu).
Les accès à l'application font l'objet d'une joumalisation répertoriant l'identification de l'utilisateur et l'opération effectuée. La commission recommande d'y ajouter l'horodatage et la référence des données consultées.
La commission recommande qu'un contrôle des traces soit effectué de manière automatique, pour détecter les comportements anormaux et assorti d'une levée d'alerte. Elle recommande également que des mesures soient mises en œuvre pour assurer l'intégrité des traces.
Afin de protéger l'intégrité et la disponibilité des données publiées contre des attaques en ligne, les droits d'accès des différentes briques techniques du site internet ont été restreints.
En complément, considérant la sensibilité particulière des données traitées, la commission recommande à la direction générale du travail d'imposer à son hébergeur un maintien en conditions de sécurité du site internet, en s'assurant notamment que le système de gestion de contenu et ses infrastructures sont dotés de versions récentes et maintenus à jour de leurs correctifs de sécurité.
Au-delà de ces mesures, la commission suggère au responsable de traitement d'utiliser un outil permettant de générer un site de production statique (HTML + images) à partir du système de gestion de contenu. Un site statique est en effet plus simple à sécuriser et sa mise à jour régulière présente l'avantage d'écraser automatiquement toute altération malveillante des données diffusées.
Sous réserve de ses observations, la commission estime que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité, au regard de la réévaluation régulière des risques et de l'évolution des technologies.